强制执行倒计时:2026年8月2日
EU AI Act 合规指南

欧盟人工智能法合规指南:
中国企业必读 (2026)

EU AI Act已于2024年8月生效,2026年8月强制执行。现在是中国企业评估合规状态的最后窗口期。本指南涵盖风险分类体系、PIPL双合规路径及四步落地方案。

获取免费合规诊断 微信直接咨询
7% 最高罚款(全球营业额)
2026 年8月全面强制执行
4类 AI风险等级分类
€35M 违规最高绝对罚款额
核心框架

EU AI Act 四级风险分类体系

EU AI Act根据AI系统对人类权利和安全的潜在影响,将其划分为四个风险等级。您必须首先确定自己的系统属于哪个类别,才能知道需要达到哪些合规要求。

禁止使用

不可接受风险

此类AI系统对基本权利构成明显威胁,EU AI Act明令禁止在欧盟境内使用。

典型示例:
社会信用评分系统 · 实时公共场所生物特征识别 · 操纵弱势群体行为的AI · 执法领域的情感识别系统
强制合规

高风险

对就业、教育、信贷或安全有重大影响。须满足技术文档、合规测试、CE标志等全部要求。

典型示例:
招聘与绩效评估AI · 信贷评分系统 · 医疗诊断设备AI · 关键基础设施管理 · 教育评估系统 · 移民和庇护审查
透明度要求

有限风险

须向用户明确告知其正在与AI系统交互,或内容为AI生成,无需完整合规认证。

典型示例:
客服聊天机器人 · 深度伪造内容生成 · AI换脸/语音合成 · 情感分析工具(非高风险场景)
自愿规范

最小风险

绝大多数日常AI应用均属此类,无强制合规要求,但鼓励遵循行业自律准则。

典型示例:
垃圾邮件过滤 · AI推荐算法 · 库存预测 · AI游戏 · 内容翻译工具 · 通用办公AI助手
不确定您的AI系统属于哪个类别? 预约30分钟免费分类诊断 ,或 微信直接发起咨询
双合规框架

PIPL vs EU AI Act:核心差异对比

中国企业在欧洲开展业务,通常需要同时应对PIPL(中国个人信息保护法)和EU AI Act两套监管框架。了解差异,才能设计出兼顾两端的合规架构。

比较维度 中国 PIPL 欧盟 EU AI Act
生效时间 2021年11月1日 2024年8月1日(分阶段执行,2026年8月全面生效)
适用范围 处理中国境内自然人个人信息的活动,无论处理者位于何处 在欧盟境内提供、使用或受AI系统输出影响的主体,无论注册地在哪
核心要求 数据本地化、知情同意、最小化原则、个人权利保障 风险分类与评估、技术文档、透明度、人工监督、合规性测试
跨境数据传输 国家安全评估 / 标准合同(SCCs-CN)/ 认证机构认证 充分性决定 / 标准合同条款(SCCs-EU)/ 约束性公司规则(BCR)
最高罚款 营业额5% 或 5000万元人民币 营业额7% 或 3500万欧元(禁止类AI)
监管机构 国家网信办(CAC) 各成员国国家主管机构 + 欧盟AI办公室
AI特有规定 算法推荐管理规定(2022)/ 生成式AI管理暂行办法(2023) EU AI Act全文(高风险清单、通用AI模型、基础模型特殊条款)
双合规难点 跨境训练数据传输须同时满足PIPL安全评估与GDPR数据传输机制;AI决策自动化须同时符合PIPL知情同意与EU AI Act透明度要求;数据本地化要求与欧洲云基础设施要求可能冲突。
受影响主体

哪些中国企业受 EU AI Act 约束?

EU AI Act采用"场景管辖"而非"注册地管辖"原则。只要您的AI系统在欧盟境内被使用或产生影响,即受法规约束,与公司是否在欧洲注册无关。

在EU境内销售产品或服务的中国企业

无论是直接面向欧洲消费者的电商平台,还是向欧洲B2B客户提供SaaS服务,只要产品中嵌入AI功能,均受EU AI Act约束。

在欧洲使用AI进行HR决策的跨国公司

招聘筛选、绩效评估、岗位分配等HR场景的AI应用属于高风险类别,须进行完整合规认证,无论AI系统由哪家公司开发。

在DACH有子公司或办事处的中国集团

即使AI系统由中国总部统一部署,欧洲子公司的使用行为仍触发合规义务。母公司需为子公司的合规状态承担连带责任。

使用第三方AI工具的欧洲业务主体

即使AI工具由中国公司提供(如商汤科技、百度智能云、讯飞等),只要欧洲业务人员在境内使用,该欧洲主体作为"部署者"(deployer)仍须承担相应合规义务。

向欧洲企业出口含AI功能产品的制造商

工业设备、医疗器械、汽车系统中嵌入的AI功能受EU AI Act管辖。作为"供应商"(provider),须在产品投放EU市场前完成合规认证。

使用AI进行金融或信贷决策的机构

在欧洲开展的贷款审批、风险评估、欺诈检测等金融AI应用均属高风险类别,需满足额外的透明度和可解释性要求。

合规路径

四步合规落地方案

基于为DACH中国企业提供AI合规服务的实战经验,我们将复杂的EU AI Act合规要求拆解为四个可执行步骤,总周期约8-10周。

  • 1

    AI系统清单与风险分类

    全面梳理企业在欧盟境内使用、部署或提供的所有AI系统——包括自研系统、第三方SaaS工具中的AI功能,以及嵌入产品中的AI模块。依据EU AI Act附录三(高风险清单)进行初步分类,明确哪些系统需要完整合规认证,哪些只需透明度措施。

    预计2周
  • 2

    合规差距分析 Gap Analysis

    针对高风险AI系统,逐条对照EU AI Act要求进行现状评估:技术文档是否完备?训练数据质量是否可记录?人工监督机制是否存在?系统是否可解释?同步评估PIPL合规状态,识别双合规框架下的冲突点和优先修复项。

    预计1周
  • 3

    技术文档体系建立

    为高风险AI系统建立符合EU AI Act第11条要求的技术文档,涵盖:系统架构说明、训练数据描述、性能指标与局限性声明、测试与验证方案、风险管理体系文件。同时建立持续监控机制,确保上市后合规状态的动态维护。

    预计3-4周
  • 4

    人工监督机制设计与测试

    设计符合EU AI Act第14条要求的人工监督方案:明确人工干预节点、建立超越AI决策的升级流程、对相关人员进行培训并记录。实施端到端压力测试,模拟高风险场景下的系统行为,确保监督机制在极端情况下仍然有效。最终输出合规声明(Declaration of Conformity)草稿。

    预计2周

重要提示: 以上时间线基于企业已有基础文档的情况。若企业AI系统文档缺失或业务流程复杂,实际时间可能延长。建议在2025年底前启动合规流程,为2026年8月的强制执行截止日预留充足时间。

常见问题

中国企业最关注的五个问题

以下是我们在服务中国出海企业时,被问到最多的EU AI Act合规问题。

EU AI Act已于2024年8月1日正式生效,但设有过渡期。2025年2月起,针对不可接受风险AI的禁令开始执行。2026年8月2日起,对高风险AI系统的全部合规要求(含技术文档、合规性测试、CE标志)全面强制执行,届时无任何宽限期。通用AI模型(GPAI)的额外要求于2025年8月生效。
这取决于ERP的使用场景。如果系统包含用于招聘决策、信贷评分、员工绩效评估的AI模块,则属于高风险类别。单纯的库存管理、发票自动化、财务报表生成等流程AI通常属于最小风险。许多中国ERP系统在欧洲场景下属于"两栖"状态——核心功能是最小风险,但HR模块是高风险。建议通过专业AI系统审计明确分类,避免遗漏。
可以,但需要系统性架构设计。主要冲突点在于:(1)数据本地化 vs 跨境传输:PIPL要求在中国境内存储数据,而EU AI Act可能要求将训练数据提供给欧洲监管机构审查;(2)知情同意范围:两套框架对"AI自动化决策"的知情同意要求存在差异;(3)数据删除权:PIPL的删除请求可能影响AI系统的训练数据完整性文档。合理的双合规架构通常通过数据分层、地域隔离和双写机制来解决这些冲突。
EU AI Act的最高罚款为全球年营业额的7%(禁止类AI)或3500万欧元(取较高者)。高风险AI违规最高为3%或1500万欧元。重要的是,罚款基数为全球营业额,意味着中国母公司的收入也被纳入计算。此外,监管机构还可强制要求下架产品、暂停服务,对中国企业的欧洲业务影响可能远超罚款本身。
合规评估从AI系统清单开始,通常只需1-2周,成本相对可控。完整的合规路径(清单→差距分析→技术文档→人工监督机制)根据AI系统数量和复杂度,总预算通常在€8,000至€35,000之间。阿里·纳贾夫扎德提供免费的初步合规诊断——通过Calendly预约30分钟通话,评估您的具体情况并提供优先行动建议,无任何义务。
立即行动

2026年8月的截止日期不会等待

您的企业是否已准备好迎接EU AI Act全面执行?现在预约免费合规诊断,获得针对您具体业务的优先行动清单——完全免费,无任何义务。

预约免费合规诊断 微信直接咨询

如无法访问Calendly,请直接通过微信联系 · contact@alinajafzadeh.at

维也纳总部,EU监管合规
中文全程服务
EU AI Act + PIPL双合规专长
维也纳 · 迪拜 · 中国业务覆盖